🟢 Amazing PowerShell One-Liners for System Administrators.

• Here is a collection of some really cool PowerShell one-liners scripts. I find them very useful for day-to-day system administration tasks. I will keep adding to this list as I learn more useful commands.

• List of all installed applications on a Windows device;
• Get all installed KB numbers from Windows Update;
• Find Admin Shares on my computer;
• Find Scheduled tasks that are running;
• Find files;
• Find the Last Bootup Time;
• Free Disk space information;
• Find out how big a folder is;
• Active Directory Bulk Add Users;
• Extract all unique IP addresses from a log file and display the top 10 most frequently occurring ones;
• Monitor a folder for changes and send an email notification whenever a new file is created;
• Create a report of all mailbox sizes in an Exchange server and export it to a CSV file;
• Monitor a website for availability and send an email notification whenever it goes down;
• Find all the processes that are using a specific port;
• Create a script that retrieves the latest tweets from a list of Twitter users and sends an email notification.

#Powershell #Windows

👨‍💻 Эксплуатация Windows AD и справочник по командам.

• Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках.

• Делюсь ссылками на полезный справочник для эксплуатации win #AD, который включает в себя следующую информацию:

• Обход PowerShell AMSI;
• PowerShell one-liners;
• Перечисления (Enumeration);
• AD Enumeration с помощью PowerView;
• AppLocker;
• Ограниченный языковой режим PowerShell;
• LAPS;
• Боковое перемещение (Lateral Movement);
• Боковое перемещение с помощью PowerView;
• BloodHound;
• Kerberoasting;
• AS-REP roasting;
• Token Manipulation;
• Боковое перемещение с помощью Rubeus;
• Боковое перемещение с помощью Mimikatz;
• Выполнение команды с запланированными задачами;
• Выполнение команд с помощью WMI;
• Выполнение команд с помощью PowerShell Remoting;
• Неограниченное делегирование;
• Ограниченное делегирование;
• Ограниченное делегирование на основе ресурсов;
• Злоупотребление доверием к домену;
• MSSQL и боковое перемещение;
• Групповые политики и боковое перемещение;
• Privilege Escalation;
• PowerUp;
• UAC Bypass;
• Persistence;
• Startup folder;
• Domain Persistence;
• Mimikatz skeleton key attack;
• Права DCSync с помощью PowerView;
• Domain Controller DSRM admin;
• Изменение дескрипторов безопасности для удаленного доступа к WMI;
• Изменение дескрипторов безопасности для удаленного доступа PowerShell;
• Изменение дескрипторов безопасности реестра DC для удаленного извлечения хэша с помощью DAMP;
• DCShadow;
• Постэксплуатация;
• LSASS protection;
• Дамп учетных данных с помощью Mimikatz;
• Злоупотребление DPAPI с помощью Mimikatz;
• Dumping secrets without Mimikatz;
• Windows Defender evasion;
• Chisel proxying;
• Juicy files;

#AD #Пентест

👩‍💻 Windows PowerShell 5. Часть 1.

• Мини-курс описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10.

• Введение в Windows PowerShell 5;
• Инструменты Windows PowerShell 5;
• Команды и командлеты;
• Получение справки;
• Основы синтаксиса;
• Кавычки, экранирование и комментарии;
• Дополнительные сведения о синтаксисе;
• Конвейерная обработка;
• Форматирование вывода;
• Типы данных;
• Строки;
• Числа;
• Словари и хеш-таблицы;
• Массивы и последовательности;
• Литеральные типы;
• Конвертация типов;
• Арифметические операторы;
• Операторы присваивания;
• Операторы сравнения;
• Операторы сравнения и коллекции;
• Операторы сравнения шаблона;
• Регулярные выражения;
• Операторы управления текстом;
• Логические и побитовые операторы;
• Методы Where() и ForEach();
• Операторы для работы с типами;
• Унарные операторы;
• Операторы группировки и подвыражения;
• Операторы массивов;
• Многомерные массивы;
• Операторы вызова свойств;
• Операторы вызова методов;
• Оператор форматирования;
• Операторы перенаправления;
• Переменные;
• Синтаксис имен переменных;
• Командлеты для работы c переменными;
• Сплаттинг переменных;
• Условное выражение (if);
• Циклы while и do;
• Цикл for;
• Цикл foreach;
• Выражения break и continue;
• Выражение switch;
• Сложные сравнения внутри switch.

#Курс #RU #Windows #PowerShell

👩‍💻 Windows PowerShell 5. Часть 2.

• Вторая часть мини-курса, которая описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10.

• Расширенные возможности выражения switch;
• Командлет ForEach-Object;
• Командлет Where-Object;
• Основы функций;
• Параметры функций;
• Настройка параметров функций;
• Переключатели функций;
• Получение значений из функций;
• Использование функций в конвейере;
• Определение функций в сессии;
• Область действия переменных в функциях;
• Скрипты;
• Передача аргументов скриптам;
• Выход из скриптов;
• Область действия переменных в скриптах;
• Управление скриптами;
• Продвинутые функции и скрипты;
• Атрибут CmdletBinding в функциях и скриптах;
• Атрибут OutputType в функциях и скриптах;
• Атрибуты параметров в функциях и скриптах;
• Псевдонимы параметров в функциях и скриптах;
• Проверка параметров в функциях и скриптах;
• Динамические параметры в функциях и скриптах;
• Значение параметров по умолчанию;
• Документирование функций и скриптов;
• Основы модулей;
• Работа с модулями;
• Создание модулей скриптов.

#Курс #RU #Windows #PowerShell

😈 Эксплуатация Windows AD и справочник по командам.

• Эксплуатация представляет собой последовательность действий, которая помогает атакующему получить доступ к исследуемой системе, используя уязвимость или ошибку в настройках. Сегодня, я поделюсь с тобой ссылкой на отличный Cheat Sheet для эксплуатации win #AD.

Что включает в себя справочник:
• Обход PowerShell AMSI;
• PowerShell one-liners;
• Перечисления (Enumeration);
• AD Enumeration с помощью PowerView;
• AppLocker;
• Ограниченный языковой режим PowerShell;
• LAPS;
• Боковое перемещение (Lateral Movement);
• Боковое перемещение с помощью PowerView;
• BloodHound;
• Kerberoasting;
• AS-REP roasting;
• Token Manipulation;
• Боковое перемещение с помощью Rubeus;
• Боковое перемещение с помощью Mimikatz;
• Выполнение команды с запланированными задачами;
• Выполнение команд с помощью WMI;
• Выполнение команд с помощью PowerShell Remoting;
• Неограниченное делегирование;
• Ограниченное делегирование;
• Ограниченное делегирование на основе ресурсов;
• Злоупотребление доверием к домену;
• MSSQL и боковое перемещение;
• Групповые политики и боковое перемещение;
• Privilege Escalation;
• PowerUp;
• UAC Bypass;
• Persistence;
• Startup folder;
• Domain Persistence;
• Mimikatz skeleton key attack;
• Права DCSync с помощью PowerView;
• Domain Controller DSRM admin;
• Изменение дескрипторов безопасности для удаленного доступа к WMI;
• Изменение дескрипторов безопасности для удаленного доступа PowerShell;
• Изменение дескрипторов безопасности реестра DC для удаленного извлечения хэша с помощью DAMP;
• DCShadow;
• Постэксплуатация;
• LSASS protection;
• Дамп учетных данных с помощью Mimikatz;
• Злоупотребление DPAPI с помощью Mimikatz;
• Dumping secrets without Mimikatz;
• Windows Defender evasion;
• Chisel proxying;
• Juicy files.

#AD #ИБ #Hack

⬆ P.S. В продолжении поста выше, на хабре есть очень полезная серия материала от сотрудника Microsoft, который работал над ядром ОС Windows 10, XBox, Windows Phone и Microsoft Edge. Обязательно ознакомьтесь:

• О работе ПК на примере Windows 10 и клавиатуры ч. 1;
• О работе ПК на примере Windows 10 и клавиатуры ч. 2;
• О работе ПК ч.3: От включения до полной загрузки Windows 10.

#Разное #Windows

👩‍💻 Затыкаем рот Windows 10.

• На хабре опубликована полезная статья, в которой вы найдете полезные скрипты, советы и reg-файлы для отключения обновления, синхронизаций, телеметрии и т.д.

➡️ https://habr.com/post/778466/

• А если вы используете Windows 11, Win Server 2016 или 2019, то вот вам инструкция от майков: https://learn.microsoft.com/

• P.S. Всегда помните, что любые попытки отключения сетевых возможностей ОС Windows 10 приводят к проблемам. Перечисленные способы не исключение.

• Правильная стратегия «затыкания рта Windows» должна быть следующей:

- Полностью обновить ОС.
- Инсталляция и настройка требуемых сторонних программ.
- Отключение «паразитного» сетевого трафика.

#Windows #Разное

🔐 Awesome security hardening.

• Огромная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков:

• Security Hardening Guides and Best Practices;
— Hardening Guide Collections;
— GNU/Linux;
- Red Hat Enterprise Linux - RHEL;
- CentOS;
- SUSE;
- Ubuntu;
— Windows;
— macOS;
— Network Devices;
- Switches;
- Routers;
- IPv6;
- Firewalls;
— Virtualization - VMware;
— Containers - Docker - Kubernetes;
— Services;
- SSH;
- TLS/SSL;
- Web Servers;
- Mail Servers;
- FTP Servers;
- Database Servers;
- Active Directory;
- ADFS;
- Kerberos;
- LDAP;
- DNS;
- NTP;
- NFS;
- CUPS;
— Authentication - Passwords;
— Hardware - CPU - BIOS - UEFI;
— Cloud;
• Tools;
— Tools to check security hardening;
- GNU/Linux;
- Windows;
- Network Devices;
- TLS/SSL;
- SSH;
- Hardware - CPU - BIOS - UEFI;
- Docker;
- Cloud;
— Tools to apply security hardening;
- GNU/Linux;
- Windows;
- TLS/SSL;
- Cloud;
— Password Generators;
• Books;
• Other Awesome Lists;
— Other Awesome Security Lists.

#ИБ

👨‍💻 50 Methods For Lsass Dump.

• Если не сильно углубляться в теорию, то Local Security Authority Subsystem Service (он же LSASS) — это процесс (исполняемый файл C:\Windows\System32\lsass.exe), ответственный за управление разными подсистемами аутентификации ОС #Windows. Среди его задач: проверка «кред» локальных и доменных аккаунтов в ходе различных сценариев запроса доступа к системе, генерация токенов безопасности для активных сессий пользователей, работа с провайдерами поддержки безопасности (Security Support Provider, SSP) и др.

• В домене Active Directory правит концепция единого входа Single Sign-On (SSO), благодаря которой процесс lsass.exe хранит в себе разные материалы аутентификации залогиненных пользователей, например, NT-хеши и билеты Kerberos, чтобы «пользачу» не приходилось печатать свой пароль в вылезающем на экране окошке каждые 5 минут. В «лучшие» времена из LSASS можно было потащить пароли в открытом виде в силу активности протокола WDigest (HTTP дайджест-аутентификация), но начиная с версии ОС Windows Server 2008 R2 вендор решил не включать этот механизм по умолчанию.

• При успешном дампе LSASS злоумышленнику чаще всего остается довольствоваться NT-хешами и билетами Kerberos, это все равно с большой вероятностью позволит ему повысить свои привилегии в доменной среде AD за короткий промежуток времени. Реализуя схемы Pass-the-Hash, Overpass-the-Hash и Pass-the-Ticket, злоумышленник может быстро распространиться по сети горизонтально, собирая по пути все больше хешей и «тикетов», что в конечном итоге дарует ему «ключи от Королевства» в виде данных аутентификации администратора домена.

• В этой статье представлены 50 методов извлечения данных аутентификации из памяти LSASS: https://redteamrecipe.com/50-methods-for-lsass-dumprtc0002

#Red_Team #Пентест #AD

📚 Серия уроков по пакету утилит SysInternals.

• Набор инструментов SysInternals — это набор приложений Windows, которые можно бесплатно загрузить из соответствующего раздела веб-сайта Microsoft. В этой серии статей вы познакомитесь с каждым из важных инструментов в комплекте, познакомитесь с ними и их многочисленными функциями, а затем эти инструкции помогут понять, как использовать их в реальных условиях:

- Что такое инструменты SysInternals и как их использовать?
- Знакомство с Process Explorer;
- Использование Process Explorer для устранения неполадок и диагностики;
- Понимание Process Monitor;
- Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра;
- Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО.

#SysInternals #Windows #soft

🔐 10 способов обхода Windows Defender.

• Всем известно, что в состав ОС Windows входит стандартный антивирус Windows Defender, который является простым и "относительно" нормальным решением с различными средствами для контроля приложений, встроенным фаерволом и средством для защиты в реальном времени.

• В этой статье автор подробно рассказывает о 10 способах и техниках обхода Windows Defender с целью выполнения произвольного кода. Содержание статьи следующее:

- In-Memory AMSI/ETW patching;
- Обфускация кода;
- Обфускация во время компиляции;
- Обфускация бинарных файлов;
- Зашифрованная инъекция шеллкода;
- Загрузка шеллкода;
- Пользовательские инструменты;
- Инсценировка полезной нагрузки;
- Рефлексивная загрузка;
- Сборки P/Invoke C#.

#Windows #AV #Пентест

👩‍💻 Уроки форензики. Большой гид по артефактам Windows

• Объемная шпаргалка о методах поиска информации в операционной системе Windows — с целью выявления различных инцидентов. В этой статье описан последовательный процесс сбора артефактов на заведомо взломанном ПК. Содержание следующее:

• Typical Forensic investigation flow.

• Tools:
- Acquire artifact’s Tools;
- Forensic analysis tools;
- OS / Linux Distros.

• KAPE cheatsheet:
- KAPE target extraction;
- Memory dump;
- Live response command and scanner;
- All in one artifact parsing;
- Event log / log scanning and parsing;
- Program Execution;
- File folder activity;
- NTFS and FileSystem parsing;
- System activity;
- Mounted image scanner.

• Analysis Findings:
- Live Forensics;
- Memory analysis;
- Disk analysis;
- Windows event logs analysis;
- Triage artifacts parsing and analysis;
- Other Artifacts.

• Lateral Movement Detection and Investigation:
- Credential harvesting;
- File sharing;
- Remote login;
- Remote Execution.

#Форензика